Plateforme
go
Composant
github.com/esm-dev/esm.sh
Corrigé dans
136.0.1
0.0.0-20250616164159-0593516c4cfa
La vulnérabilité CVE-2025-50180 est une faille de type SSRF (Server-Side Request Forgery) affectant le module github.com/esm-dev/esm.sh. Cette faille permet à un attaquant de récupérer des informations provenant de sites internes en exploitant la capacité du serveur à effectuer des requêtes HTTP. Les versions antérieures à 0.0.0-20250616164159-0593516c4cfa sont concernées. Une mise à jour vers la version corrigée est recommandée.
Un attaquant exploitant cette vulnérabilité peut initier des requêtes HTTP vers des ressources internes qui ne sont normalement pas accessibles depuis l'extérieur. Cela peut inclure la lecture de fichiers sensibles, l'accès à des bases de données internes, ou même l'exécution de commandes sur des systèmes internes, en fonction de la configuration du serveur. La faille est particulièrement critique car elle permet de contourner les contrôles d'accès et d'obtenir des informations confidentielles. L'exploitation peut se faire en construisant une URL malveillante qui force le serveur à effectuer une requête vers une ressource interne, comme illustré dans la description de la vulnérabilité avec l'exemple https://esm.sh/https://local.site/test.md.
La vulnérabilité CVE-2025-50180 a été rendue publique le 2026-02-25. Il n'y a pas d'indication d'une inscription sur le KEV (CISA Known Exploited Vulnerabilities) à ce jour. Aucun proof-of-concept (PoC) public n'est actuellement connu, mais la nature de la SSRF rend l'exploitation relativement simple. Il est donc probable que des attaquants puissent développer des PoCs rapidement.
Organizations heavily reliant on esm.sh for JavaScript module resolution, particularly those with sensitive internal resources accessible via HTTP, are at risk. Environments with less stringent network segmentation policies are also more vulnerable, as an attacker could potentially leverage the SSRF to reach deeper into the internal network.
• linux / server:
journalctl -u esm-sh -g 'SSRF' | grep -i 'local.site'• generic web:
curl -I https://esm.sh/https://local.site/test.md | grep -i 'local.site'disclosure
Statut de l'Exploit
EPSS
0.04% (percentile 13%)
CISA SSVC
La mitigation principale consiste à mettre à jour github.com/esm-dev/esm.sh vers la version 0.0.0-20250616164159-0593516c4cfa ou ultérieure. Si la mise à jour n'est pas immédiatement possible, des mesures temporaires peuvent être prises. Il est recommandé de configurer un pare-feu d'application web (WAF) pour bloquer les requêtes suspectes contenant des suffixes tels que .js, .ts, .mjs, etc. Des règles WAF peuvent être configurées pour filtrer les requêtes vers des adresses internes non autorisées. Vérifiez également la configuration du serveur pour vous assurer qu'il n'y a pas d'autres vulnérabilités qui pourraient être exploitées en conjonction avec cette SSRF. Après la mise à jour, vérifiez que la vulnérabilité est bien corrigée en tentant une requête avec un suffixe vulnérable et en vous assurant qu'elle est bloquée.
Mettez à jour la version de esm.sh à la version 137 ou supérieure. Cela corrigera la vulnérabilité SSRF qui permet la récupération d'informations à partir de sites web internes. Vous pouvez mettre à jour le paquet en utilisant le gestionnaire de paquets npm ou yarn.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-50180 is a SSRF vulnerability in esm.sh, allowing attackers to retrieve internal website content through crafted URLs. It has a CVSS score of 7.5 (HIGH).
You are affected if you are using a version of esm.sh prior to 0.0.0-20250616164159-0593516c4cfa. Assess your deployments and upgrade immediately.
Upgrade to version 0.0.0-20250616164159-0593516c4cfa or later. Consider WAF rules as a temporary mitigation.
There is currently no evidence of active exploitation, but the vulnerability's severity warrants immediate action.
Refer to the esm.sh GitHub repository for updates and advisories related to this vulnerability: https://github.com/esm-dev/esm.sh
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier go.mod et nous te dirons instantanément si tu es affecté.